Gefälschte Windows-11-Werbung auf Facebook verteilt Passwort- und Krypto-Stealer

Angreifer schalten derzeit bezahlte Facebook-Anzeigen, die täuschend echt nach offiziellen Microsoft-Promotionen aussehen. Wer darauf klickt, landet auf einer nahezu perfekten Kopie der Microsoft-Download-Seite – erkennbar nur an der Adresszeile, die Domains wie ms-25h2-download[.]pro oder ms25h2-update[.]pro zeigt statt microsoft.com. Ein Klick auf „Jetzt herunterladen" liefert keinen Windows-Update, sondern einen 75 MB großen Schädling namens ms-update32.exe, der Passwörter, Browser-Sessions und Krypto-Wallet-Daten stiehlt.

Die Kampagne ist technisch durchdacht: Security-Scanner und virtuelle Maschinen werden erkannt und auf google.com umgeleitet – nur echte Nutzer erhalten die Schaddatei. Diese wird über GitHub ausgeliefert, was HTTPS-Zertifikat und Vertrauenswürdigkeit suggeriert. Nach Ausführung nistet sich eine Electron-Applikation unter AppData\Roaming\LunarApplication\ ein, werden PowerShell-Skripte mit deaktivierten Sicherheitsrichtlinien ausgeführt und Persistenz über einen legitim wirkenden Windows-Registrierungspfad hergestellt. Zusätzlich wird Code in legitime Prozesse injiziert, um Erkennung zu erschweren.

Wie erkenne ich, ob ich betroffen bin? Wer eine Datei von einer der genannten Domains heruntergeladen und ausgeführt hat, sollte das System als kompromittiert betrachten. Konkrete Hinweise: das Verzeichnis LunarApplication im AppData-Ordner, zufällig benannte .yiz.ps1- oder .unx.ps1-Dateien im Temp-Ordner, sowie ungewöhnliche Einträge unter HKLM\SYSTEM\Software\Microsoft\TIP\AggregateResults.

Empfehlung: Sofort von einem sauberen Gerät alle wichtigen Passwörter ändern, die Bank informieren und bei genutzten Krypto-Wallets die Gelder auf eine neue Wallet mit frischer Seed-Phrase transferieren. Den betroffenen Rechner mit einem aktuellen Antivirenscanner prüfen, bevor er weiter genutzt wird. Grundsätzlich gilt: Windows-Updates kommen ausschließlich über die Windows-Einstellungen – niemals über eine Website oder eine Social-Media-Anzeige.

Quelle: Malwarebytes Blog, 20. Februar 2026

Related Posts

Wiener Forscher decken massive WhatsApp-Datenschutzlücke auf

Informatikerinnen der Universität Wien und SBA Research haben eine gravierende Schwachstelle im Contact-Discovery-Mechanismus von WhatsApp entdeckt, die globale Nutzerinnen-Enumeration ermöglichte. Durch extrem hohe Abfrageraten konnten die Forschenden mehr als 3,5 Milliarden aktive WhatsApp-Konten weltweit identifizieren, inklusive Metadaten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und – sofern freigegeben – Profilbild oder About-Text.

Read More

„Truman Show“-Scam: KI-generierte Scheinwelt tarnt großangelegten Investmentbetrug

Sicherheitsforscher des Harmony Mobile Detection Teams haben eine hochentwickelte Investmentbetrugs-Kampagne mit dem Namen OPCOPRO offengelegt, die vollständig auf KI-gestützter Social Engineering basiert. Die Angreifer nutzen legitime Android- und iOS-Apps aus offiziellen App-Stores sowie künstlich erzeugte WhatsApp- und Telegram-Communities, um Opfer über Wochen hinweg in eine kontrollierte Scheinrealität zu ziehen.

Read More

Facebook-Phishing: Angreifer setzen verstärkt auf Browser-in-the-Browser-Technik

Cyberkriminelle nutzen zunehmend die sogenannte Browser-in-the-Browser-(BitB)-Methode, um Facebook-Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Laut Beobachtungen von Trellix ist diese Technik in den vergangenen sechs Monaten vermehrt in Phishing-Kampagnen gegen Facebook im Einsatz und stellt eine deutliche Weiterentwicklung klassischer Login-Betrugsmaschen dar.

Read More